Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/03/2011
El troià Tatanga ataca la banca europea
Tatanga és un nou troià bancari amb capacitats man-in-the-browser (MitB) que injecta HTML en tots els navegadors web i utilitza tècniques d'arrel per a ocultar la seua presència. Els bancs d'Espanya, Regne Unit, Alemanya i Portugal s'han vist afectats per aquest codi maliciós, segons han detectat des de S21Sec.
Un nou troià bancari de nom Tatanga ha sigut descobert per la unitat d'e-crime de la firma de seguretat espanyola S21Sec. El malware compta amb funcions de Man in the Browser (MitB) i, com a SpyEye, pot realitzar transaccions automàtiques, suplantar el balanç dels comptes i les operacions bancàries dels usuaris
D'acord amb els investigadors de S21Sec, el troià Tatanga està escrit en C++ i utilitza tècniques d'arrel per ocultar la seua presència, encara que, de vegades, els seus arxius són visibles. “El troià descarrega un nombre de mòduls encriptats (DLLs), que es desencripten en la memòria, quan s'injecten en el navegador o altres processos per a evitar la detecció del programari antivirus”, escriuen en el blog corporatiu.
Segons pareix, aquest codi maliicós bancari ha atacat usuaris de banca online d'Alemanya, Portugal, Espanya i Regne Unit. “Com altres troians de la seua classe, utilitza un arxiu de configuració encriptat. Aquest arxiu Tatanga troià bancari está en format XML i té un element per a cada país afectat”. “Depenent del banc objectiu –continuen-, el troià pot fer-se amb les credencials de forma passiva o sol·licitar-les, per tal d'escometre transaccions fraudulentes durant la sessió d'usuari”.
Tatanga pot injectar HTML en tots els navegadors més populars: Explorer, Firefox, Chrome, Opera, Safari, Minefield, Maxthoon, Netscape, i Konqueror.
De moment, la ràtio de detecció del troià Tatanga “és molt baixa”, apunten els experts de S21Sec “i pocs motors antivirus poden detectar-lo”.